El mes de diciembre fue un mes cargado de novedades para el mundo de los videojuegos, siendo uno de los protagonistas el esperado Cyberpunk 2077. Con una preventa de 8 millones de copias alrededor del mundo, este videojuego se convirtió desde el primer día en un éxito de ventas y según afirman algunos medios, en el lanzamiento más exitoso de todos los tiempos en lo que respecta a videojuegos. Esto, más tarde, se vio opacado por los bugs reportados por usuarios de todas las plataformas, causando su retiro de las tiendas y un aplazo en su relanzamiento. Sin embargo, esto no detuvo a los cibercriminales que gustan de aprovecharse de estas tendencias para afectar a usuarios desprevenidos.
Desde su salida el pasado 10 de diciembre, analizamos alrededor de 30 enlaces que prometían una descarga gratis del juego. Estos, en su mayoría, contenían redirecciones a la tienda oficial del Cyberpunk 2077 u ofrecían descargas de solamente contenidos adicionales, como fondos de pantalla o videos. Sin embargo, también encontramos campañas lanzadas por cibercriminales con fines monetarios.
Robo de datos sensibles
Uno de estos sitios contenía un supuesto enlace de descarga que simulaba ser un instalador del juego. Antes de la instalación, ofrece cambiar la supuesta ruta donde se guardaría el juego. Sin embargo, come se observa en la Imagen 1, al seleccionar esta opción, el navegador advierte que la acción a realizar es seleccionar una carpeta para subir los archivos que tenga el usuario en esta ruta al sitio malicioso y no establecer una ruta como el texto indica que hará. Esto es, potencialmente, un intento de robo de información.
Una vez seleccionada la supuesta ruta se procede a “instalar” el juego, mostrando una barra de progreso sobre archivos de instalación inexistentes. Antes de terminar el proceso, un mensaje advierte la necesidad de ingresar una contraseña para verificar que una persona esté del otro lado de la pantalla. Lo que usualmente sería un test de CAPTCHA, como todos conocemos, esta vez nos solicita completar encuestas en un sitio ajeno, plagado de publicidades. Aquí es donde los cibercriminales hacen rentable el engaño.
Estas encuestas cuentan con un supuesto verificador para comprobar la finalización y entregar la supuesta contraseña. Una vez realizada la verificación humana redirige a una página similar, en donde las encuestas esta vez solicitan para poder continuar datos sensibles del usuario, como números de tarjetas de crédito o débito, que probablemente terminen en manos de los operadores detrás de la campaña.
Descarga de adware y otros potenciales archivos maliciosos
Este tipo de fraudes, sin embargo, no representan el mayor peligro de la distribución falsa del juego. Otro de los sitios analizados contenía una descarga real de un archivo ejecutable, ya no con un nombre similar al juego, sino llamado Setup_212646. Al analizarlo con el servicio VirusTotal, podemos ver que una gran parte de las soluciones de seguridad lo detecta como perteneciente a distintas familias conocidas de Adwares, un malware que introduce publicidades o pop-ups indeseados en el sistema del usuario y, en el caso de la familia del Adware Artemis, modifica propiedades del navegador para redirigir al usuario a páginas falsas plagadas de descargas de malware o más publicidad.
Una vez ejecutado, este instalador ya no simulaba ser el juego, sino que descargaba la aplicación Notepad++.
Si bien la instalación de esta aplicación fue legítima, ayuda a camuflar las acciones maliciosas que se realiza en paralelo el archivo sospechoso. En primer lugar, elimina el mismo archivo descargado, para evitar dejar rastro en el equipo de la víctima. Luego, examina y modifica registros relacionados con la versión de sistema operativo, equipo y Windows Defender del usuario para evadir los controles de seguridad, posiblemente para evitar ciertas acciones de este último en caso de estar activado.
Además, para asegurarse persistencia, instala adicionalmente dos programas que a primera vista son neutrales y modifica los registros de arranque del sistema.
Por último, examina los registros relacionados con Internet Explorer, intenta modificarlos y se comunica con un sitio externo varias veces (que aparenta ser una página en blanco en el navegador), presuntamente para recibir instrucciones o publicidad indeseada para mostrarle al usuario.
Estos hallazgos nos recuerdan que las amenazas se esconden hasta en el lugar menos esperado de la web, y que se deben realizar las descargas desde sitios seguros y oficiales. Además, si bien el juego ya ha sido lanzado por primera vez, los cibercriminales volverán a aprovecharse de su regreso, lanzando estas efímeras campañas de nuevo, con lo cual podremos ver un aumento de actividad en los próximos meses una vez más.